Como eu lido com a remoção / erradicação de um worm desconhecido em nossa rede?

TL; DR

Tenho certeza de que nossa pequena rede foi infectada por algum tipo de worm / vírus. No entanto, parece apenas estar afetando nossas máquinas Windows XP. Máquinas com Windows 7 e computadores Linux (bem, sim) parecem não serem afetados. As verificações antivírus não mostram nada, mas nosso servidor de domínio registrou milhares de tentativas de login com falha em várias contas de usuário válidas e inválidas, principalmente o administrador. Como posso impedir que esse worm não identificado se espalhe?

Sintomas

Alguns de nossos usuários do Windows XP relataram problemas semelhantes, embora não totalmente idênticos. Todos eles experimentam desligamentos / reinicializações aleatórios iniciados por software. Em um dos computadores, uma caixa de diálogo é exibida com uma contagem regressiva até a reinicialização do sistema, aparentemente iniciada por NT-AUTHORITY \ SYSTEM e tem a ver com uma chamada RPC. Esse diálogo, em particular, é exatamente o mesmo descrito nos artigos que detalham os worms de exploração RPC mais antigos.

Quando dois computadores foram reiniciados, eles retornaram no prompt de login (são computadores de domínio), mas o nome de usuário listado era 'admin', mesmo que não tenham feito login como administrador.

Em nossa máquina Windows Server 2003 executando o domínio, notei milhares de tentativas de logon de várias fontes. Eles tentaram todos os nomes de login diferentes, incluindo Administrador, administrador, usuário, servidor, proprietário e outros.

Alguns dos logs listados IPs, outros não. Dos que tinham endereço IP de origem (para os logons com falha), dois deles correspondem às duas máquinas com Windows XP com reinicializações. Ontem mesmo, notei várias tentativas de login com falha de um endereço IP externo. Um traceroute mostrou que o endereço IP externo era de um ISP canadense. Nunca devemos ter conexões a partir daí (ainda temos usuários de VPN). Portanto, ainda não tenho certeza do que está acontecendo com as tentativas de login provenientes de um IP obrigatório.

Parece óbvio que algum tipo de malware está nesses computadores, e parte do que ele faz é tentar enumerar senhas em contas de domínio para obter acesso.

O que eu fiz até agora

Depois de perceber o que estava acontecendo, meu primeiro passo foi garantir que todos estivessem executando o antivírus atualizado e fazendo uma verificação. Dos computadores afetados, um deles tinha um cliente antivírus expirado, mas os outros dois eram versões atuais do Norton e as verificações completas de ambos os sistemas não deram em nada.

O próprio servidor executa regularmente antivírus atualizado e não mostrou nenhuma infecção.

Portanto, 3/4 dos computadores com Windows NT têm antivírus atualizado, mas não detectou nada. No entanto, estou convencido de que algo está acontecendo, evidenciado principalmente pelas milhares de tentativas falhas de login para várias contas.

Também notei que a raiz do nosso compartilhamento de arquivos principal tinha permissões bastante abertas, então eu apenas a restringi para ler + executar para usuários normais. O administrador tem acesso total, é claro. Também estou prestes a fazer com que os usuários atualizem suas senhas (para senhas fortes) e vou renomear para Administrador no servidor e alterar sua senha.

Já tirei as máquinas da rede, uma está sendo substituída por uma nova, mas sei que essas coisas podem se espalhar pelas redes, por isso ainda preciso chegar ao fundo disso.

Além disso, o servidor possui uma configuração NAT / Firewall com apenas determinadas portas abertas. Ainda tenho que investigar completamente alguns dos serviços relacionados ao Windows com portas abertas, pois sou do Linux.

O que agora?

Portanto, todo o antivírus moderno e atualizado não detectou nada, mas estou absolutamente convencido de que esses computadores têm algum tipo de vírus. Baseei isso nas reinicializações / instabilidades aleatórias das máquinas XP, combinadas com as milhares de tentativas de login originadas nessas máquinas.

O que pretendo fazer é fazer backup de arquivos do usuário nas máquinas afetadas, reinstalar o Windows e formatar as unidades recentemente. Também estou tomando algumas medidas para proteger os compartilhamentos de arquivos comuns que podem ter sido usados ​​para se espalhar para outras máquinas.

Sabendo tudo isso, o que posso fazer para garantir que esse worm não esteja em outro lugar da rede e como posso impedir que ele se espalhe?

Eu sei que essa é uma pergunta prolongada, mas estou fora do meu alcance aqui e poderia usar algumas dicas.

Obrigado por olhar!

Estas são minhas sugestões gerais para esse tipo de processo. Agradeço que você já tenha abordado alguns deles, mas é melhor saber algo duas vezes do que perder algo importante. Essas anotações são orientadas ao malware que está se espalhando em uma LAN, mas podem ser facilmente reduzidas para lidar com infecções menores.

Parando a podridão e encontrando a fonte de infecção.

1. Verifique se você possui um backup atualizado de todos os sistemas e todos os bits de dados nesta rede com os quais a empresa se preocupa. Observe que essa mídia de restauração pode estar comprometida, para que as pessoas não tentem restaurá-la dentro de três meses enquanto as costas estão viradas e infectam a rede novamente. Se você tiver um backup antes da infecção, coloque-o em segurança de um lado também.

2. Desligue a rede ao vivo, se você puder (você provavelmente precisará fazer isso como parte do processo de limpeza, pelo menos). No mínimo, considere seriamente manter essa rede, incluindo servidores, fora da Internet até você saber o que está acontecendo - e se esse worm estiver roubando informações?

3. Não fique à frente. É tentador apenas dizer que construir limpo tudo nesse momento, forçar todo mundo a mudar senhas etc., e chamar isso de 'bom o suficiente'. Embora você provavelmente precise fazer isso mais cedo ou mais tarde , é provável que você tenha bolsas de infecção se você não entender o que está acontecendo na sua LAN. ( Se você não deseja investigar a infecção, vá para a etapa 6 )

4. Copie uma máquina infectada para um ambiente virtual de algum tipo, isole esse ambiente virtual de todo o resto, incluindo a máquina host, antes de inicializar o convidado comprometido .

5. Crie outro par de máquinas convidadas virtuais limpas para infectar e, em seguida, isole a rede e use ferramentas como o wireshark para monitorar o tráfego da rede (hora de tirar proveito desse background linux e criar outro convidado nessa LAN virtual que possa assistir todo esse tráfego sem estar infectado por qualquer worm do Windows!) e Process Monitor para monitorar as alterações que ocorrem em todas essas máquinas. Considere também que o problema pode ser um rootkit bem oculto - tente usar uma ferramenta respeitável para encontrá-los, mas lembre-se de que isso é um pouco difícil, pois encontrar nada não significa que não há nada lá.

6. (Supondo que você não tenha / não possa desligar a LAN principal) Use o wireshark na LAN principal para verificar o tráfego enviado para / das máquinas infectadas. Trate qualquer tráfego inexplicável de qualquer máquina como potencialmente suspeito - a ausência de sintomas visíveis não é evidência de ausência de comprometimento . Você deve estar especialmente preocupado com servidores e estações de trabalho que executam informações críticas de negócios.

7. Depois de isolar os processos infectados nos convidados virtuais, você poderá enviar uma amostra para a empresa que criou o software antivírus que você está usando nessas máquinas. Eles farão questão de examinar amostras e produzir correções para qualquer novo malware que encontrarem. De fato, se você ainda não o fez, deve contatá-los com sua história de aflição, pois eles podem ter alguma maneira de ajudar.

8. Tente descobrir o que era o vetor original da infecção - esse worm pode ser uma exploração oculta dentro de um site comprometido que alguém visitou, pode ter sido trazido da casa de alguém em um cartão de memória ou recebido por e-mail, para citar mas de algumas maneiras. A exploração comprometeu essas máquinas por meio de um usuário com direitos de administrador? Nesse caso, não conceda aos usuários direitos de administrador no futuro. Você precisa tentar garantir que a fonte de infecção esteja corrigida e verificar se há alguma alteração processual para tornar essa rota de infecção mais difícil para explorações no futuro.

Limpar

Algumas dessas etapas parecerão exageradas. Heck alguns deles provavelmente estão acima do topo, especialmente se você determinar que apenas algumas máquinas estão realmente comprometidas, mas elas devem garantir que sua rede esteja tão limpa quanto possível. Os chefes também não estarão interessados ​​em algumas dessas etapas, mas não há muito a ser feito sobre isso.

1. Encerre todas as máquinas na rede. Todas as estações de trabalho. Todos os servidores. Tudo. Sim, até o laptop do filho adolescente dos chefes, que o filho usa para se infiltrar na rede enquanto espera o pai terminar o trabalho, para que o filho possa jogar ' dubious-javascript-exploit-Ville ' em qualquer que seja o atual site de mídia social du-jour . De fato, pensando bem, desligue esta máquina especialmente . Com um tijolo, se é isso que é preciso.

2. Inicie cada servidor por sua vez. Aplique qualquer correção que você tenha descoberto por si mesmo ou que tenha sido fornecida por uma empresa de antivírus. Audite os usuários e grupos em busca de contas inexplicáveis ​​(contas locais e contas do AD), audite o software instalado quanto a algo inesperado e use o wireshark em outro sistema para observar o tráfego proveniente deste servidor (se você encontrar algum problema nesse momento, considere seriamente a reconstrução esse servidor). Desligue cada sistema antes de iniciar o próximo, para que uma máquina comprometida não possa atacar as outras. Ou desconecte-os da rede, para que você possa fazer vários de uma só vez, mas eles não podem conversar um com o outro, tudo bem.

3. Quando tiver certeza de que todos os seus servidores estão limpos, inicie-os e use o wireshark, o monitor de processos, etc. novamente e observe-os novamente quanto a comportamentos estranhos.

4. Redefina todas as senhas de usuários . E, se possível, as senhas da conta de serviço também. Sim, eu sei que é uma dor. Estamos prestes a entrar no território "possivelmente exagerado" neste momento. Sua chamada.

5. Reconstrua todas as estações de trabalho . Faça isso um de cada vez, para que as máquinas possivelmente infectadas não fiquem ociosas na LAN, atacando as recém-reconstruídas. Sim, isso vai demorar um pouco, desculpe por isso.

6. Se isso não for possível, então:

   Execute as etapas descritas acima para servidores em todas as estações de trabalho "esperançosamente limpas".

   Reconstrua todos os que mostraram algum indício de atividade suspeita e faça-o enquanto todas as máquinas "esperançosamente limpas" estiverem desligadas.

7. Se você ainda não considerou o AV centralizado, que relatará problemas de volta a um servidor onde é possível verificar problemas, registro centralizado de eventos, monitoramento de rede etc. Obviamente, escolha qual deles é adequado para as necessidades e orçamentos dessa rede, mas há claramente um problema aqui, certo?

8. Revise os direitos do usuário e as instalações de software nessas máquinas e configure uma auditoria periódica para garantir que as coisas continuem como você espera que sejam. Além disso, certifique-se de que os usuários sejam incentivados a relatar as coisas o mais rápido possível, sem serem lamentados, incentive uma cultura comercial de corrigir problemas de TI em vez de filmar o messenger, etc.

Você fez todas as coisas que eu faria (se eu ainda fosse um administrador do Windows) - As etapas canônicas são (ou foram, da última vez que eu era um cara do Windows):

1. Isole as máquinas afetadas.
2. Atualizar definições de antivírus
   Execute AV / Malware / etc. digitaliza em toda a rede
3. Sopre as máquinas afetadas (limpe completamente as ventosas) e reinstale.
4. Restaure os dados do usuário dos backups (verifique se estão limpos).

Observe que sempre há uma chance de o vírus / worm / o que está oculto no e-mail (no servidor de correio) ou dentro de uma macro em um documento word / excel - Se o problema voltar, talvez você precise ser mais agressivo na limpeza da próxima vez.

A primeira lição a tirar disso é que as soluções AV não são perfeitas. Nem mesmo perto.

Se você estiver atualizado com os fornecedores de software AV, ligue para eles. Todos eles têm números de suporte para exatamente esse tipo de coisa. De fato, eles provavelmente estarão muito interessados ​​no que o atingiu.

Como já foi dito, abaixe cada máquina, limpe-a e reinstale-a. Você pode aproveitar esta oportunidade para tirar todo mundo do XP de qualquer maneira. Tem sido um sistema operacional morto por algum tempo. No mínimo, isso deve envolver a destruição das partições HD e a reformatação. Embora pareça que não há muitas máquinas envolvidas, a compra de substituições completamente novas pode ser uma opção melhor.

Além disso, informe seu chefe que isso ficou caro.

Por fim, por que você executaria tudo isso em um único servidor? (Retórico, eu sei que você o "herdou") Um CD NUNCA deve ser acessível pela Internet. Corrija isso instalando o hardware apropriado para cuidar da funcionalidade necessária.

Provavelmente é um rootkit se seus programas de A / V não aparecerem. Tente executar o TDSSkiller e veja o que você encontra. Além disso, seria o momento perfeito para simplesmente substituir os computadores arcaicos do Windows XP por algo com menos de uma década. Além de software como programas antivírus, eu vi muito pouco em programas que não podiam ser executados através de um shim ou afrouxando algumas permissões de NTFS / Registro no Windows 7. Há realmente muito pouca desculpa para continuar para executar o XP.